NRDelegationAttack:一个补丁引发的复杂性DDoS攻击-天天新视野
今天分享的论文的主题为针对 DNS 递归解析器的 DDoS 攻击。该工作由来自 Tel-Aviv University (以色列特拉维夫大学) 的 DEEPNESS Lab 的研究人员完成。在互联网的早期阶段,域名系统(DNS)是互联网的核心基础服务,其提供简单的域名到 IP 的映射服务。但是随着互联网的发展,DNS 已经发展成为了一个非常复杂的系统,其内部由不同的组件相互耦合构建,如开放解析器、递归解析器、公共 DNS 服务商等,这些组件共同协作完成域名解析的任务。面对层出不穷的安全问题,开发者为了尽可能减低损失往往会对软件漏洞进行快速修补,而这些补丁往往很难进行周全的设计与分析,从而导致新的安全风险,本文研究人员利用 NXNSAttack [1] 的缓解机制的缺陷,设计实现了一种新型的针对递归解析器的复杂性 DDoS 攻击(Complexity Attack,复杂性攻击,指一种利用系统在最坏情况下的性能表现来消耗系统资源的攻击方式 [3]),同时揭示了修复安全问题时面临的严峻挑战。该论文发表于网络安全领域顶级会议 UESNIX Security 23。
01【背景介绍】
(相关资料图)
分布式拒绝服务攻击(DDoS)是 DNS 系统面临的主要安全风险之一。在 RFC1034 中,DNS 解析器的设计者建议通过Bound the amount of work避免 DDoS 攻击。然而,真实网络环境中,在诸多复杂机制的联合作用下,针对 DNS 的新型 DDoS 攻击仍时有发生。
The recommended priorities for the resolver designer are:1.Bound the amount of work(packets sent, parallel processes started) so that a request can’t get into an infinite loop or start off a chain reaction of requests or queries with other implementations EVEN IF SOMEONE HAS INCORRECTLY CONFIGURED SOME DATA. |
发表于 USENIX Security 20 的 NXNSAttack [1] 便介绍了一种 DDoS 攻击方法。DNS 递归解析器在接收到不包含NS 记录 IP 的响应时,将开启多个主动解析进程发起对响应中全部 NS 记录的查询,以提高解析效率。这种解析机制可能被攻击者滥用,构造针对递归解析器的放大攻击,达到使递归或权威服务器拒绝服务的效果。我们公众号之前的文章也对 NXNSAttack 进行了详细介绍,请感兴趣的读者点击链接进行阅读。
NXNSAttack 发表后,BIND9、KNOT 和 UNBOUND 等软件迅速对相关漏洞进行了修复。然而,NXNSAttack 补丁在修复原有漏洞的同时,也引入了全新的安全风险。论文作者发现,在结合某些 DNS 机制的基础上,NXNSAttack 补丁可被再度利用,导致 NRDelegationAttack,一种新型的、更为复杂的 DDoS 攻击。
下面将首先对攻击利用的四种 DNS 机制进行介绍。
1. SLIST
“SLIST” 机制在 RFC-1034 中提出。它在解析器实现中用作临时存储器,用于记录在处理客户端查询时执行的每个中间名称服务器解析的状态。在 BIND9 中其被实现为 address-DB (ADB) [2]。图 1是 BIND9 中 ADB 的实现。当递归解析器接收到响应中没有包含 NS 记录的 IP 地址的响应时,其将 NS 记录保存在 ADB 中,并启动新的 DNS 查询来收集这些 NS 服务器的 A 记录。
图 1:BIND9 对 SLIST 的实现及使用流程
2. Delegation Response
要回答解析器的查询请求,权威服务器可以决定将解析工作委托给另一个名称服务器。例如图 2 中,example1.com 将 e1.example.com 的解析委托给 www1.example2.com ,或者当解析器获得引用响应(Referral Response, RR) 时,就会发生这种情况。
在解析器的实现中,Delegation Response 将会触发restart事件。
图 2:Delegation Response
3. Restart Event
在许多情况下,解析器中的解析过程被委托给不同的名称服务器,在这种情况下,它将重新启动并在新的名称服务器上继续解析。被重定向到的“新权威”服务器将会被记录在 ADB 中。
在restart时,解析器会清除和重置一些标识位,其中包括为了缓解 NXNSAttack 引入的No_Fetch标识位,其用来限制解析器每次查询的NS数量,当No_Fetch为1时,将终止本次解析。
4. Referral Response Limit
为了缓解 NXNSAttack,解析器增加了解析Referral Response中NS的数量限制,每次仅会解析Referral Response中的 k 个 NS。在具体实现中,BIND9 和 KNOT 设置 k 为 5,UNBOUND 为 6。
02【威胁模型】
一、攻击条件
1. 一个或多个可以发起恶意查询的客户端
2. 一个可控的权威服务器,用于产生特定的referral response
3. 不响应 DNS 查询的服务器列表或者 IP 地址
二、攻击流程
图 3:NRDelegationAttack 流程图
如图 3 所示,NRDelegationAttack 主要包括三个阶段:
阶段一:攻击者从客户端发起恶意的查询,使得递归解析服务器向攻击者控制的权威名称服务器发起查询。
阶段二:攻击者利用可控的权威名称服务器返回没有胶水记录的超长的referral response(大小设为 n )。根据解析器软件的实现(文中主要针对 BIND9 的实现),解析器首先将遍历 ADB 和缓存,查看这些 NS 是否之前查询过,因为存在 A 和 AAAA 两种记录,所以会查询2n次,这是 NRDelegationAttack 的主要成因之一,每次的遍历耗费了服务器大量的计算资源,此时将一次遍历的负载记为 CC(n)。当解析器没有找到 NS 的有效信息,则会对这些 NS 发起解析,由于Referral Response Limit限制的存在,因此,解析器每次仅查询有限的 k 个 NS。
阶段三:当解析器查询referral response中的 NS 时,将触发Delegation Response,此时restart事件被激活,因此No_Fetch标识位被清除,因此解析器通过步骤 10 重新回到步骤 4,再次查询 ADB 和缓存。另一方面,由于攻击者设置的是不响应 DNS 查询的服务器,因此,这些无法获取到这些NS的有效信息,因此,无法在ADB 中更新这些 NS 的信息。所以步骤 10 只有到达解析器的安全限制计数器的上限才会停止,BIND9 中这个上限为 100。该上限对攻击者来说已经可以完成攻击了。
文中指出,NSNXattack 计算负载不高的原因是解析器一次性的发出所有请求,并发出的查询标记,不会重复的查询。而 NRDelegationAttack 利用被清除的No_Fetch标识位,形成重复的查询,造成服务器过载。
图 4:攻击时的解析器算法流程图
图 4 展示了解析器在受到 NRDelegationAttack 时,内部的算法流程图,与图 3 对照可以同时观察解析器在NRDelegationAttack 下内部算法的实现和解析流程的关系。
三、攻击变种
表 1:NRDelegationAttack的不同变种
表 1 为利用不同的权威服务器的配置来实现 NRDelegationAttack 的不同变种,论文中主要针对 NR-Delegation 变种进行介绍。
03【NRDelegationAttack 分析】
在 NRDelegationAttack 分析部分,论文作者主要从两方面说明 NRDelegationAttack 的影响,包括复杂性因子理论评估和攻击的实际测量评估。
一、复杂性因子理论评估
首先定义基本的术语:
Rstrts(n): referral 中记录条数 n 与 restart 次数的关系,其计算公式如下:
RR_Sent(n): referral 中记录条数 n 与 NS 名称查询总数的关系,其计算公式如下:
ResolutionLoop(n): referral 中记录条数 n 的计算负载(论文通过测算,得到指令数为21000)
QSentCost(n): referral 中记录条数 n 的与解析过程中查询 NS 名称时执行的指令数的关系,计算公式如下:
Cost(n): referral 中记录条数 n 产生的负载,计算公式如下:
为了验证理论评估的准确性,本文在隔离的实验环境中进行攻击测试,测试效果如图 5 所示。橙红色的线为理论评估值,蓝色线为实际的负载,可以看出理论评估值与实际负载是非常接近的,从而验证了理论评估的准确性。
图 5:真实的攻击负载和理论评估值对比
二、对 NRDelegationAttack 的实际测量评估
为评估 NRDelegationAttack 的真实影响,论文中进行了两方面的验证,一是在云环境中部署测试环境,验证NRDelegationAttack 对不同解析器软件的影响;二是针对公共 DNS 服务器进行测试,评估其对真实应用的影响。
2.1 云环境测试
测试环境部署在微软云上,文中主要关注了 BIND9、Knot 和 Unbound 三款解析器软件,以 NSD (Name Server Daemon, 一个开源 DNS 服务器) 为权威服务器软件。部署的软件均为修复了 NXNSAttack 的版本。具体架构如图 6 所示。
图 6:云环境下的部署架构
图 7 展示了不同攻击条件下不同解析器软件的解析能力。可以看出随着 referral-list 的增大,攻击效果会更好。文中指出这是因为更长的 referral-list 增加了解析器在 ADB 和缓存中的查询负载。
图 7:NRDelegationAttack 对不同解析器软件的攻击效果
2.2 对开放解析器影响
文中对开放解析器进行了限制性的攻击测试,以评估 NRDelegationAttack 对真实的开放解析器的影响。攻击中,攻击者仅发起一个恶意查询,返回的 referral-list 仅包含 20 个 NS。攻击者的客户端超时间设置为 15 秒。
表 2 展示了测试结果。从表 2 中可以看出不同的开放解析器都受到不同程度的影响,甚至有 4 个开放解析器(Dyn,Yandex,Norton,Ultra)直接超时。
表 2:开放解析器测试结果
三、缓解措施
针对 NRDelegationAttack,本文提出了四种缓解措施
1. 仅考虑referral response中 k 个 NS 记录
a. 这个缓解措施类似于 NXNSAttack 的缓解方案,但是不同点在于将限制加载 ADB 和缓存搜索阶段,从而避免服务器产生过大的负载,这个方案可以同时修复 NRDelegationAttack 和 NXNSAttack 。
b. Bind, Knot 采用这个方案进行修复
2. 在restart事件中不清除No_Fetch标识位
3. 当具有No_Fetch时,就不在 ADB 和缓存中查找referral response。该方案与方案 2 的不同点在于,方案2仅查询k个NS,这时可能造成解析失败,比如域名 example.com 有 7个 NS,而前 6 个都不再提供服务,那么对于使用方案 2 的解析器在查询前 5 个NS失败后将返回给用户解析失败的响应。
4. 缓存不响应查询的服务器,避免解析器多次重复的查询无效的服务器。
图 8 展示了测试环境中前 3 个缓解方案的效果。图 9 展示了 BIND9、Knot 和 Unbound 修复后面对NRDelegationAttack 的负载情况。通过图 8 可以看出,论文提出的 3 个缓解措施都有效的抵御了本文所提的攻击。同时图 9 显示, 缓解措施已经在真实的解析器软件上应用,并取得了很好的效果。
图 8:前 3 个缓解方案的缓解效果
图 9:修复后 BIND9、Knot 和 Unbound 面对 NRDelegationAttack 的负载情况
04【结论】
面对复杂的 DNS 系统,修复一个漏洞可能会造成其他的影响,甚至会引入新的漏洞。这项研究工作利用修复NXNSAttack 引入的缓解机制,触发了一个新的复杂性 DDoS 攻击,来证明了这样的一个事实,揭示了修复漏洞时所面临的严峻性,将有助于之后在修复相关漏洞时解析器开发者的考虑。
原文链接
https://www.usenix.org/system/files/sec23fall-prepub-309-afek.pdf
开源工具/数据/系统链接
Dns full protocol simulator. https://github.com/ShaniBenAtya/dnssim
参考文献
[1] Yehuda Afek and Anat Bremler-Barr and Lior Shafir. NXNSAttack: Recursive {DNS} Inefficiencies and Vulnerabilities. 29th {USENIX} Security Symposium, {USENIX} Security 2020, August 12-14, 2020.
[2] ISC. https://kb.isc.org/docs/aa-01463, 2019.
[3] https://www.wikiwand.com/en/Algorithmic_complexity_attack
张允义,编辑 & 审校 | 王一航、张一铭
关键词:
相关阅读
-
04-24
-
04-24
-
04-24
-
04-24
-
04-24
推荐阅读
-
NRDelegationAttack:一个补丁引发的复杂性DDoS攻
今天分享的论文的主题为针对DNS递归解析器的DDoS攻击。该工作由来自Tel-AvivUniversity(以色列特拉维夫大更多
2023-04-24 11:12:17
-
焦点短讯!头顶两份对赌协议,珠海万达商管IPO延
本文来源:时代财经作者:林心林再过三天(4月26日),珠海万达商业管理集团股份有限公司(下称“珠海万达更多
2023-04-24 11:11:28
-
头条:崩了,买房的危机还是爆发了!
见过一些朋友,嘴上说再不买房就晚了,心里想着要不再等等。既担心政策调控专家看衰,又念叨着刚需上车怕落更多
2023-04-24 10:50:00
-
国民经济企稳回升 数字经济彰显支柱作用 天天报道
日前,国家统计局发布一季度经济运行情况。初步核算,一季度国内生产总值达284997亿元,按不变价格计算,同更多
2023-04-24 10:15:22
-
中超第三轮赛程安排 4月25日至26日两天共踢8场|
2023赛季中超联赛目前已经踢至第三轮,该轮共计8场比赛要踢,全部赛程将在北京时间4月25日-4月26日两个比赛更多
2023-04-24 09:49:03
-
夯实经济回升基础 综合施策多箭齐发
夯实经济回升基础 综合施策多箭齐发---记者获悉,围绕推动内需潜能释放、增强经营主体活力和激发发展新动更多
2023-04-24 09:09:17
-
A股反应过激了!业内看好中国科技板块长远前景…
谈及对于上述行政令的看法,4月23日芯谋研究企业部总监王笑龙向证券时报·e公司记者表示,美国对中国半导体更多
2023-04-24 08:59:04
时尚热图
热门标签
朋克汽车新能源汽车哪...
全球快讯:现在白银价...
头条焦点:荣旗科技将...
中建三局:扛起新担当...
N美利信上市首日开盘...
瑞典多地举行反北约、...
中联重科:4月21日融...
2023年04月24日05时30...
2023上海车展大奖:宛...
电池行业33家企业2022...
《原神》2.2版本大更...
LOL:他们几个很强,...
LOL手游值得练习的6个...
王者荣耀:孙行者上架...
雅典娜18888金币英雄...
《英雄联盟手游》正式...
《堡垒之夜》被苹果拉...
mazon Games宣布他们...
PowerA主题手柄:续航...
银行股终于有了起色 ...
-
今日必看
-
精彩话题
-
资讯播报
- 朋克汽车新能源汽车哪款好?大家最喜欢的车都在这儿!
- 环球热门:工信部:千兆用户达1.1亿户 总用户数的18.2%
- 杭州移动携手华为率先完成4+8杆微站多场景商用部署,实现5G精品网持续领先
- NRDelegationAttack:一个补丁引发的复杂性DDoS攻击-天天新视野
- 焦点短讯!头顶两份对赌协议,珠海万达商管IPO延期,万达系年内筹资百亿
- 三大运营商蜂发展窝物联网终端用户19.84亿户 占比达53.8%
- 全球快讯:现在白银价格多少一克(2023年4月23日)
- 头条:崩了,买房的危机还是爆发了!
- 头条焦点:荣旗科技将于2023年4月25日在深交所上市
- 中建三局:扛起新担当 展现新作为
- 宁德时代称已充分考虑原材料价格下跌的影响,不存在大幅减值风险
- 世界快资讯:大众集团Q1全球销量增长7.5%,纯电销量大涨42%
- 信息:晋城铁塔助建森林防火监控系统
- 工信部公布33个2022年国家新型数据中心典型案例 中国移动上榜10个-快讯
- 苍穹巨灵·羌塘篇
- 国民经济企稳回升 数字经济彰显支柱作用 天天报道
- ICT行业能源消耗“负”可敌国,VMware携手合作伙伴实现节能减排|世界热讯
- 内存卡如何安装使用?内存卡是怎么个用法?
- 华为如何取消电话秘书?苹果手机来电秘书怎么设置?
- oppo手机怎样设置充电特效?oppo手机如何设置充电状态?
- 怎么查名下电话卡号码?怎么查自己手机号码用了几年?
- 手机频繁自动重启是出了什么问题?苹果手机重启快捷键?
- vivo手机蓝牙权限怎么设置?vivo手机的蓝牙怎么设置?
- vivo手机呼叫限制怎么解决?vivo怎么转移通讯录到新手机?
- N美利信上市首日开盘下跌1.05%
- 小米和华为手机之间怎么传照片?小米手机和华为手机选哪个好?
- 中超第三轮赛程安排 4月25日至26日两天共踢8场|世界速递
- 特斯拉获内饰“个性化系统”专利 使车辆更便于使用和舒适
- 怎么打开微信蓝牙权限?苹果手机微信蓝牙设置在哪里打开?
- lg手机死机怎么解决?lgv50黑屏的解决方法?
- 天天快看:当百万级电动车成为常态,燃油车正迎来最后的挽歌?
- 短信怎么不提示了?为什么我的短信不能用?
- 豪华品牌们,如何用纯电拥抱新时代?|热门看点
- 电脑屏幕锁了怎么解开?怎么样锁屏幕?
- 瑞典多地举行反北约、反军演抗议活动
- 微信能查几年的聊天记录?怎么查10年内短信记录?
- 夯实经济回升基础 综合施策多箭齐发
- 如何导出苹果手机照片到电脑?苹果手机彻底摔碎了怎么导出数据?
- 中联重科:4月21日融资买入2178.04万元,融资融券余额10.94亿元
- 手机号军网什么意思?手机怎么卸载军网终端?
- 【上周回顾】三大运营商发布Q1财报;全网5G套餐用户数突破12亿;中国移动短暂登顶A股市值“一哥”
- 问界m5电池包安不安全?问界m5电池免费更换吗?
- A股反应过激了!业内看好中国科技板块长远前景…
- 石化权益会员有必要开通吗?中国石化会员怎么用?
- oppo手机激活后可不可以退货?oppo手机怎么样算激活?
- 长城炮张昊保:用新能源填补皮卡品类市场空白
- 联通流量卡没号码怎么充值?怎么给别的号码充流量?
- 【环球聚看点】易咖智车宣布完成新一轮战略融资
- 全球微速讯:如何填补智能汽车自主产业链短板?这家本土Tier 1有话说
- 小米11怎么设置个人专属铃声?手机铃声无缘无故的响是怎么回事?
- 2023年04月24日05时30分日元/人民币汇率最新报价 每日热文
- 全球热文:苏州昆山今年首次挂牌商品宅地 3宗地总起价38亿将于5月22日出让
- 微速讯:李斌:我不会让孩子在车里看大屏
- 【天天聚看点】李云飞:厚积厚发,比亚迪要打造世界级汽车品牌
- 2023上海车展大奖:宛如一场新能源盛宴 首发新能源车你Pick谁?_天天日报
- 注册资本5000万元,小米新设机器人技术公司
- 小米6.76亿美元解冻请求被驳,印度高院维持原判|天天快播报
- 重点聚焦!网络适配器无法启动代码43(网络适配器无法启动)
- 电池行业33家企业2022年年报出炉,近三成净利润翻倍_全球观点
- 心花早己开_全球短讯
- 进入赌王家族核心管理层?奚梦瑶念工商管理硕士,认真听课做笔记
- b1和b2驾照哪个好_b1和b2驾照哪个级别高 天天快播报
- 每日焦点!pvc吊顶多少钱一平方包工包料_pvc吊顶多少钱一平方
- 劳保用品有哪些种类及作用_劳保用品有哪些种类-天天百事通
- 2023年4月23日山东省正硅酸乙酯价格最新行情预测
- 巨湾技研极速电池助力,合创V09可实现充电10分钟 续航400km
- 一季度宁夏原煤、电力生产双双增长
- 每日热门:再见广东!CBA邓肯砍16+22疯狂:胡金秋闪耀季后赛 接班易建联
- 热点评!山西省中条山国有林管理局高质量推进2023年度森林抚育作业设计工作
- NO2和O2的混合气体与水的反应_no2
- 环球消息!3t加速器玩传奇调法(3t加速器官网)
- 2023年4月北京市大兴区人民医院招聘报名材料有哪些?
- 格兰仕微波炉不加热是什么原因_有可能是这个问题-报道
- 导航足球解说怎么设置-世界热讯
- 车检过期一年了怎么办
- 天天新消息丨月入过万是什么水平 更多细节来了!
- 职员英语单词_职员英语
- 天天通讯!为什么胃一阵一阵的痛还想放屁_为什么胃一阵一阵的痛
- 江门见证!中创新航全球独创OS产品量产下线
- 新型电力市场机制探索与发展趋势|全球热推荐
- 报道:武汉东西湖区开展食盐质量安全专项检查
- 天天通讯!中老两军军事历史研究部门共同祭扫中国革命烈士陵园
- 重新定义宽带标准 北京联通臻·2000M全场景宽带在京重磅发布
- 四川一林场3人服毒自杀,附近商家称确有其事,均为“90”后
- 特斯拉零利润也要卖车,造车新势力如何拿到“决赛圈”门票?_焦点消息
- 年轻人,你躺平的思想有点危险
- 朝阳区发布“阅读之城”建设三年行动计划_世界今头条
- 北京联通臻·2000M全场景宽带在京重磅发布
- 全球新动态:一纸书香溢校园 华中里小学开展多彩读书日主题活动
- 广发策略:“破晓”行情主线明朗,央国企仍有较好估值修复空间 速递
- 【世界速看料】冬至的来历和风俗是什么_冬至的来历和风俗是啥
- 凉山州金阳县召开第二季度落实食品安全“两个责任”工作部署会_天天热消息
- 4.23:汾酒海南销售额超2亿;酒便利亏损;3亿威士忌项目落户邛崃…-环球热闻
- 雷军造车,坐不住了 世界即时
- 今日要闻!孕妈妈最关心的健康食谱
- 环球最资讯丨2023中国无人系统创新发展论坛举办 无人机行业合作新业态呼之欲出
- 财报季看上海车展,汽车智能化耐力赛谁能跑到最后
- 今日快看!2023年从化区幼儿园报名系统入口
- 路政信息怎么写_路政信息
- 汽车零部件:问题突出 汽车配件等产品成售假重灾区 天天快看点